forum.opennet.ru

Составление сообщения

Исходное сообщение

"Пример настройки сквозной аутентификации трафика на Cisco PIX/ASA"
Отправлено Shutov, 16-Сен-08 12:06

Допустим у вас есть ASA 5510 которая подключена к интернет и к локальной сети. На нее провайдером маршрутизируется сеть 100.100.100.0/24.
В локальной сети есть сервер под управлением Windows на который вам необходимо иметь доступ из интернета по протоколу RDP (TCP/3389).
По причине безопасности не хотелось бы выставлять наружу эту службу. Ограничивать же доступ с конкретных ip адресов тоже неприемлимо, т.к. у клиента может быть динамический ip адрес.
Выход из этой ситуеции есть. На ASA 5510 необходимо настроить аутентификацию пользователя по имени и паролю. В случае успешной аутентификации пользователь получит полный доступ со своего ip адреса к службе RDP, до того момента пока сам не сделает LOGOUT либо доступ снова будет закрыт по таймауту.
Реализовать это можно при помощи аутентификации через virtual telnet server и virtual http (https) server. Аутентификацию через telnet и http рассматривать не будем, т.к. имена и пароли по этим протоколам передаются нешифрованными.
Рассмотрим как настроить virtual https server.
Сервер к которому необходимо иметь доступ по RDP из сети интернет имеет "белый" интернет адрес 100.100.100.100, соответственно он находится за Cisco ASA, т.е. в локальной сети.
Для virtual https сервера будем использовать адрес 100.100.100.1.
Настройка на Cisco ASA:
//добавляем пользователя в локальную базу
username cisco password cisco privilege 0
//Включаем virtual http сервер на адресе маршрутизируемом на ASA/PIX
virtual http 100.100.100.1
//Запись трансляции необходимая, для правильной работы virtual http сервера.
static (inside,outside) 100.100.100.1 100.100.100.1 netmask 255.255.255.255
//Переключаем в режим https
aaa authentication secure-http-client
aaa authentication listener https outside port https
//Разрешаем доступ к virtual https из интернет
access-list outside_access_in extended permit tcp any host 100.100.100.1 eq https
//Разрешаем доступ к нашему сервису RDP
access-list outside_access_in extended permit tcp any host 100.100.100.100 eq 3389
//Прописываем правила аутентификации сервиса RDP и virtual https
access-list AUTH extended permit tcp any host 100.100.100.100 eq 3389
access-list AUTH extended permit tcp any host 100.100.100.1 eq https
//Включаем аутентификацию из локальной базы пользователей
aaa authentication match AUTH outside LOCAL
//Устанавливаем 10 неправильных попыток входа
aaa local authentication attempts max-fail 10
//Определяем таймаут простоя аутентификации, по умолчанию 5 минут
timeout uauth 0:20:0
Теперь, чтобы зайти из сети интернет на сервер по по протоколу RDP, пользователь сначала в браузере наберет строку https://100.100.100.1 , после чего появится приглашение аутентификации. Введет имя и пароль пользователя и вслучае успешной аутентификации сможет через клиент RDP зайти на удаленный рабочий стол по адресу 100.100.100.100.
После того как доступ больше не нужен, пользователь снова должен пройти аутентификацию через https://100.100.100.1 и доступ будет закрыт. Либо просто ничего не делать и доступ будет закрыт по таймауту.

Исходное сообщение
"Пример настройки сквозной аутентификации трафика на Cisco PIX/ASA" Отправлено Shutov, 16-Сен-08 12:06
Допустим у вас есть ASA 5510 которая подключена к интернет и к локальной сети. На нее провайдером маршрутизируется сеть 100.100.100.0/24. В локальной сети есть сервер под управлением Windows на который вам необходимо иметь доступ из интернета по протоколу RDP (TCP/3389). По причине безопасности не хотелось бы выставлять наружу эту службу. Ограничивать же доступ с конкретных ip адресов тоже неприемлимо, т.к. у клиента может быть динамический ip адрес. Выход из этой ситуеции есть. На ASA 5510 необходимо настроить аутентификацию пользователя по имени и паролю. В случае успешной аутентификации пользователь получит полный доступ со своего ip адреса к службе RDP, до того момента пока сам не сделает LOGOUT либо доступ снова будет закрыт по таймауту. Реализовать это можно при помощи аутентификации через virtual telnet server и virtual http (https) server. Аутентификацию через telnet и http рассматривать не будем, т.к. имена и пароли по этим протоколам передаются нешифрованными. Рассмотрим как настроить virtual https server. Сервер к которому необходимо иметь доступ по RDP из сети интернет имеет "белый" интернет адрес 100.100.100.100, соответственно он находится за Cisco ASA, т.е. в локальной сети. Для virtual https сервера будем использовать адрес 100.100.100.1. Настройка на Cisco ASA: //добавляем пользователя в локальную базу username cisco password cisco privilege 0 //Включаем virtual http сервер на адресе маршрутизируемом на ASA/PIX virtual http 100.100.100.1 //Запись трансляции необходимая, для правильной работы virtual http сервера. static (inside,outside) 100.100.100.1 100.100.100.1 netmask 255.255.255.255 //Переключаем в режим https aaa authentication secure-http-client aaa authentication listener https outside port https //Разрешаем доступ к virtual https из интернет access-list outside_access_in extended permit tcp any host 100.100.100.1 eq https //Разрешаем доступ к нашему сервису RDP access-list outside_access_in extended permit tcp any host 100.100.100.100 eq 3389 //Прописываем правила аутентификации сервиса RDP и virtual https access-list AUTH extended permit tcp any host 100.100.100.100 eq 3389 access-list AUTH extended permit tcp any host 100.100.100.1 eq https //Включаем аутентификацию из локальной базы пользователей aaa authentication match AUTH outside LOCAL //Устанавливаем 10 неправильных попыток входа aaa local authentication attempts max-fail 10 //Определяем таймаут простоя аутентификации, по умолчанию 5 минут timeout uauth 0:20:0 Теперь, чтобы зайти из сети интернет на сервер по по протоколу RDP, пользователь сначала в браузере наберет строку https://100.100.100.1 , после чего появится приглашение аутентификации. Введет имя и пароль пользователя и вслучае успешной аутентификации сможет через клиент RDP зайти на удаленный рабочий стол по адресу 100.100.100.100. После того как доступ больше не нужен, пользователь снова должен пройти аутентификацию через https://100.100.100.1 и доступ будет закрыт. Либо просто ничего не делать и доступ будет закрыт по таймауту.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Допустим у вас есть ASA 5510 которая подключена к интернет и к > локальной сети. На нее провайдером маршрутизируется сеть 100.100.100.0/24. > В локальной сети есть сервер под управлением Windows на который вам необходимо > иметь доступ из интернета по протоколу RDP (TCP/3389). > По причине безопасности не хотелось бы выставлять наружу эту службу. Ограничивать же > доступ с конкретных ip адресов тоже неприемлимо, т.к. у клиента может > быть динамический ip адрес. > Выход из этой ситуеции есть. На ASA 5510 необходимо настроить аутентификацию пользователя > по имени и паролю. В случае успешной аутентификации пользователь получит полный > доступ со своего ip адреса к службе RDP, до того момента > пока сам не сделает LOGOUT либо доступ снова будет закрыт по > таймауту. > Реализовать это можно при помощи аутентификации через virtual telnet server и > virtual http (https) server. Аутентификацию через telnet и http рассматривать не > будем, т.к. имена и пароли по этим протоколам передаются нешифрованными. > Рассмотрим как настроить virtual https server. > Сервер к которому необходимо иметь доступ по RDP из сети интернет имеет > "белый" интернет адрес 100.100.100.100, соответственно он находится за Cisco ASA, т.е. > в локальной сети. > Для virtual https сервера будем использовать адрес 100.100.100.1. > Настройка на Cisco ASA: > //добавляем пользователя в локальную базу > username cisco password cisco privilege 0 > //Включаем virtual http сервер на адресе маршрутизируемом на ASA/PIX > virtual http 100.100.100.1 > //Запись трансляции необходимая, для правильной работы virtual http сервера. > static (inside,outside) 100.100.100.1 100.100.100.1 netmask 255.255.255.255 > //Переключаем в режим https > aaa authentication secure-http-client > aaa authentication listener https outside port https > //Разрешаем доступ к virtual https из интернет > access-list outside_access_in extended permit tcp any host 100.100.100.1 eq https > //Разрешаем доступ к нашему сервису RDP > access-list outside_access_in extended permit tcp any host 100.100.100.100 eq 3389 > //Прописываем правила аутентификации сервиса RDP и virtual https > access-list AUTH extended permit tcp any host 100.100.100.100 eq 3389 > access-list AUTH extended permit tcp any host 100.100.100.1 eq https > //Включаем аутентификацию из локальной базы пользователей > aaa authentication match AUTH outside LOCAL > //Устанавливаем 10 неправильных попыток входа > aaa local authentication attempts max-fail 10 > //Определяем таймаут простоя аутентификации, по умолчанию 5 минут > timeout uauth 0:20:0 > Теперь, чтобы зайти из сети интернет на сервер по по протоколу RDP, > пользователь сначала в браузере наберет строку https://100.100.100.1 , после чего появится > приглашение аутентификации. Введет имя и пароль пользователя и вслучае успешной аутентификации > сможет через клиент RDP зайти на удаленный рабочий стол по адресу > 100.100.100.100. > После того как доступ больше не нужен, пользователь снова должен пройти аутентификацию > через https://100.100.100.1 и доступ будет закрыт. Либо просто ничего не делать > и доступ будет закрыт по таймауту.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру